Вниманию пользователей Gnutella: опасайтесь сетевого червя Mandragore!

«Лаборатория Касперского» сообщает об обнаружении нового сетевого червя «Mandragore«, использующего для своего распространения популярную сеть обмена файлами Gnutella, работающей по технологии Peer-to-Peer (P2P).

Возможность существования подобных червей была открыта еще в мае 2000 Сетом МакГэном, опубликовавшем свое исследование в популярной электронной конференции BugTraq. Несмотря на это, до сих пор не было зарегистрировано ни единого случая появления подобных вредоносных программ. Сейчас, по некоторым данным, зарегистрировано несколько десятков зараженных компьютеров.

«Mandragore» представляет собой EXE-файл, написанный на языке программирования Ассемблер и имеющего длину 8192 байта. При запуске этого файла, червь регистрирует себя как активный узел сети Gnutella и отслеживает все сетевые запросы на поиск файлов. При обнаружении запросов, вне зависимости от наличия искомых файлов на зараженной системе, «Mandragore» возвращает положительный результат поиска и предлагает пользователю загрузить их. Для маскировки он переименовывает свою копию в соответствии с полученным запросом. Таким образом, если пользователь послал запрос на поиск файла «How to become a millionaire», то зараженная система предложит ему загрузить файл «How to become a millionaire.exe». Важно отметить, что червь абсолютно неработоспособен, если на Вашем компьютере не установлен один из клиентов, поддерживающий стандарт обмена данных Gnutella, таких как Gnotella, BearShare, LimeWire или ToadNode.

При заражении компьютера червь копирует себя в каталог автозапуска программ Windows для текущего пользователя. Копируется червь под именем «GSPOT.EXE» и устанавливает на свою копию атрибуты «скрытый» и «системный». При следующей загрузке Windows червь автоматически активизируется и остается в памяти как активный процесс (под Windows 9x он регистрируется как скрытый процесс).

Данный червь не имеет побочных действий, кроме незначительного увеличения потока исходящих данных.

Методы защиты и удаления

Для предотвращения проникновения «Mandragore» на компьютер нельзя ни в коем случае запускать EXE-файлы длиной 8192 байта, которые могут Вам предложены для загрузки через сеть Gnutella. Мы также рекомендуем постоянно использовать антивирусный монитор, входящий в поставку Антивируса Касперского. Он эффективно заблокирует внедрение червя в систему даже если Вы нечаянно запустили зараженный файл.

В случае, если компьютер все же подвергся заражению червем, «Лаборатория Касперского» рекомендует удалить файл GSPOT.EXE в каталоге автозапуска программ для текущего пользователя и перезагрузить компьютер.

Процедуры защиты от «Mandragore» уже добавлены в ежедневное обновление антивирусной базы Антивируса Касперского. Более подробная информация о данном черве доступна в Вирусной Энциклопедии Касперского.

Ссылки по теме:

Бен Хьюстон, «A P2P Virus: The «GnutellaMandragore»
Virus»